Se connecter / S'enregistrer
Votre question

[ Résolu ] Infection par Navipromo AO

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Août 2008 20:56:49

Bonsoir à tous :) 


Je me suis chopé Navipromo AO hier en me promenant dans un forum.

Bit defender a bloqué pas mal de choses mais pas celui-ci.
J'ai également utilisé C cleaner Ad aware et autres SmitfraudFix
sans résultat. J'ai quand même réussi à éradiquer xp antivirus 2008 qui s'était aussi installé à un moment.

Pour Navipromo , j'ai lu beaucoup de choses sur divers forums et je viens donc de faire l'analyse avec Navilog 1 dont je poste le résultat ci-dessous.

C'est sur mon ordinateur professionnel et je rentre chez moi mais si une âme charitable peut y jeter un oeil pour me dire si je peux passer à la phase 2 désinfection demain matin , merci d'avance :na: 

bonne soirée à vous !!




Search Navipromo version 3.6.3 commencé le 12/08/2008 à 20:16:59,68

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Utilisateur"

Mise à jour le 09.08.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\menudm~1\progra~1" ***

...\InternetGameBox trouvé !

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Utilisateur\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

bmfsmrexrf_navps.dat trouvé !

* Dans "C:\Documents and Settings\Utilisateur\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 12/08/2008 à 20:26:31,45 ***

Autres pages sur : resolu infection navipromo

12 Août 2008 21:43:34

bonsoir
Citation :
C'est sur mon ordinateur professionnel et je rentre chez moi mais si une âme charitable peut y jeter un oeil pour me dire si je peux passer à la phase 2 désinfection demain matin , merci d'avance :na: 


oui :) 
13 Août 2008 09:47:26

Bonjour :) 

Me revoilà donc ce matin après exécution de navilog1, dont voici le rapport

Clean Navipromo version 3.6.3 commencé le 13/08/2008 à 9:22:08,81

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Utilisateur"

Mise à jour le 09.08.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Utilisateur\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Utilisateur\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Utilisateur\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Utilisateur\menudm~1\progra~1" ***

...\InternetGamebox ...suppression...
...\InternetGamebox supprimé !


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Utilisateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


bmfsmrexrf_navps.dat trouvé !
Copie bmfsmrexrf_navps.dat réalisée avec succès !
bmfsmrexrf_navps.dat supprimé !


* Dans "C:\Documents and Settings\Utilisateur\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 13/08/2008 à 9:25:49,68 ***



Mais j'ai toujours un problème d'écran bleu avec bandeau jaune "spyware detected" quand Windows se lance et dans les propriétés d'affichage manquent toujours les signets ecrans de veille et fonds d'écran.

De plus je recois très régulièrement des alertes Bitdefender pour Trojan.Fakealeret.YN que Bitdefender élimine sans problème.
J'ai donc fait un scan Hijackthis dont voici le rapport:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:47, on 13/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Vidal\Communs\Vidal.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Business\ECB-VISA.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\lphcec3j0ercn.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\WiFiConnector\NintendoWFCReg.exe
C:\WINDOWS\Rssauw32.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\GALSVW32.EXE
C:\Documents and Settings\Utilisateur\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bullovor.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www2.cegetel.rss.fr"); (C:\Program Files\Netscape\Users\adsl\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\Vidal\Communs\Vidal.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [eCarteBleue-VISA] "C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Business\ECB-VISA.exe" /dontopenmycards
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [lphcec3j0ercn] C:\WINDOWS\system32\lphcec3j0ercn.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lancer l'utilitaire d'enregistrement.lnk = C:\Program Files\WiFiConnector\NintendoWFCReg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rssauw32.lnk = C:\WINDOWS\Rssauw32.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .asx: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npdsplay.dll
O15 - Trusted Zone: http://www.secuser.com)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 7485 bytes


Je m'en remets donc encore une fois à vos conseils avertis.
Merci beaucoup ;) 
Contenus similaires
13 Août 2008 14:34:37

bonjour

Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

ajoute un nouveau rapport Hijackthis.

13 Août 2008 16:38:27



Bonjour et merci encore de ton aide....

Je ne suis pas au bureau cet aprem, donc je fais les manips et poste
tout ca dès que j'ai une minute demain matin.

Bonne fin de journée à toi ;) 
13 Août 2008 23:48:04

re

pas de souci :) 
14 Août 2008 12:54:43


Bonjour Sham_Rock ...

Me revoilà et un peu de travail pour toi, jai fait les manips que tu m'avais demandées. En voici les résultats:

Combofix:

ComboFix 08-08-13.02 - Utilisateur 2008-08-14 12:39:00.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.79 [GMT 2:00]
Endroit: C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\License Agreement.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Uninstall.lnk
C:\Documents and Settings\Utilisateur\Application Data\rhcac3j0ercn
C:\WINDOWS\dat.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\blphcec3j0ercn.scr
C:\WINDOWS\system32\lphcec3j0ercn.exe
C:\WINDOWS\system32\phcec3j0ercn.bmp
C:\WINDOWS\system32\userini.exe

----- BITS: Possible sites infectés -----

http://onsafepro.com
.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-14 to 2008-08-14 ))))))))))))))))))))))))))))))))))))
.

2008-08-13 12:18 . 2008-08-13 12:18 23,901 --a------ C:\1218622677_1_02.xml
2008-08-12 20:15 . 2008-08-13 09:25 <REP> d-------- C:\Program Files\Navilog1
2008-08-11 15:53 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-11 15:53 . 2008-08-09 15:37 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-11 10:32 . 2008-08-14 12:36 14,336 --a------ C:\WINDOWS\system32\el32.dll
2008-08-11 10:32 . 2008-08-11 10:32 172 --a------ C:\WINDOWS\el.ini
2008-07-18 09:26 . 2008-07-18 09:26 <REP> d-------- C:\Program Files\e-Carte Bleue LCL

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-14 10:42 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-08-13 11:14 --------- d-----w C:\Program Files\FlashGet
2008-08-11 18:34 4,344 ----a-w C:\WINDOWS\system32\tmp.reg
2008-08-11 12:52 --------- d-----w C:\Program Files\Lavasoft
2008-08-11 12:52 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\Lavasoft
2008-08-11 11:51 --------- d-----w C:\Program Files\Downloads
2008-08-11 08:32 26,624 ----a-w C:\WINDOWS\system32\userinit.exe
2008-07-18 07:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-24 12:35 86,792 ----a-w C:\WINDOWS\system32\drivers\bdfndisf.sys
2007-03-01 10:05 45 ----a-w C:\Documents and Settings\Utilisateur\getfile.dat
.

------- Sigcheck -------

2003-04-24 14:00 12800 333a4db8410d8e24db06d6aebecdc7c2 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
2004-08-20 01:10 14336 2979b03d5382a602623c0535b16ab9c0 C:\WINDOWS\ServicePackFiles\i386\svchost.exe
md5deep: C:\WINDOWS\system32\svchost.exe: error at offset 0: Permission denied

2004-06-17 02:08 487424 f5d97f77ac97b244ff33280154186065 C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2003-04-24 14:00 520704 71820bc9ee6653c8748922459dfc384d C:\WINDOWS\$NtUninstallKB841533$\winlogon.exe
2004-08-20 01:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2004-08-20 01:10 510464 153f273e0f621b9e90e8c277e93adaf5 C:\WINDOWS\system32\winlogon.exe

2007-06-13 15:22 1039872 07e9c2818d2cbcc882dea995b211fead C:\WINDOWS\explorer.exe
2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2003-05-29 12:49 1000448 f5909963533d861d169b737a1a8e1ef8 C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2003-04-24 14:00 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\$NtUninstallKB820291$\explorer.exe
2004-08-20 01:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2004-08-20 01:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2003-04-24 14:00 101888 fc0691097471ee374907e1024edcbd43 C:\WINDOWS\$NtServicePackUninstall$\services.exe
2004-08-20 01:10 108544 63dcde1a0d86eeb8924d6738ff616ead C:\WINDOWS\ServicePackFiles\i386\services.exe
md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

2003-04-24 14:00 11776 b7b1c150aff59455db4df082815f88f5 C:\WINDOWS\$NtServicePackUninstall$\lsass.exe
2004-08-20 01:09 13312 259af82a0932eea4f316f92db94707b6 C:\WINDOWS\ServicePackFiles\i386\lsass.exe
md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied

2005-06-11 02:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe
2003-04-24 14:00 51200 b1ce5287f096895d9be26eb86f4d5faf C:\WINDOWS\$NtServicePackUninstall$\spoolsv.exe
2004-08-20 01:10 57856 df9fc62ad51cb082b0ae371919a232cb C:\WINDOWS\$NtUninstallKB896423$\spoolsv.exe
2004-08-20 01:10 57856 df9fc62ad51cb082b0ae371919a232cb C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe
md5deep: C:\WINDOWS\system32\spoolsv.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.EXE" [2004-10-13 18:24 1694208]
"ccleaner"="C:\Program Files\CCleaner\ccleaner.exe" [2007-07-13 11:10 598656]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:59 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-07 09:19 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-07 09:07 114688]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-10 03:50 155648]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2004-02-09 06:06 1265714]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 16:06 406016]
"vdlDeamon"="C:\Program Files\Vidal\Communs\Vidal.exe" [2007-05-15 19:21 964096]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 12:41 196608]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-16 16:15 81920]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-01-05 21:28 98304]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE" [2001-09-24 09:39 98304]
"PSPAP"="C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe" [2006-03-15 17:05 2994176]
"eCarteBleue-VISA"="C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Business\ECB-VISA.exe" [2006-02-07 10:31 200704]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 13:16 185896]
"OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 12:45 75304]
"BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 16:46 61440]
"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-06-24 14:35 368640]
"GSICONEXE"="GSICON.EXE" [2001-10-10 12:26 75776 C:\WINDOWS\system32\gsicon.exe]
"DSLAGENTEXE"="dslagent.exe" [2001-10-02 11:42 16384 C:\WINDOWS\system32\dslagent.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 01:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 05:44:06 29696]
Lancer l'utilitaire d'enregistrement.lnk - C:\Program Files\WiFiConnector\NintendoWFCReg.exe [2007-09-12 12:55:01 1073152]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:56 65588]
Rssauw32.lnk - C:\WINDOWS\Rssauw32.exe [2005-05-11 15:41:54 132608]
WG111v2 Smart Wizard Wireless Setting.lnk - C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2006-11-15 09:58:52 745472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"QLUKqOXxdc"= {ECCD44C7-4667-EE6D-E685-F93EBFFCA535} - C:\WINDOWS\system32\seg.dll [2007-04-16 17:53 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll
"VIDC.I263"= C:\WINDOWS\system32\i263_32.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\Rssauw32.exe"=
"C:\\Program Files\\NETGEAR\\WG111v2 Configuration Utility\\RtWLan.exe"=
"C:\\Program Files\\WiFiConnector\\NintendoWFCReg.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 11:42]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-06-24 14:35]
R3 RVG6Driver;Kodak Trophy RVG Driver;C:\WINDOWS\system32\Drivers\RVG6USB.sys [2005-10-04 18:01]
S2 gafwload;Eicon Networks USB ADSL Loader;C:\WINDOWS\system32\DRIVERS\gafwload.sys [2001-09-28 14:07]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 14:33]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-lphcec3j0ercn - C:\WINDOWS\system32\lphcec3j0ercn.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.bullovor.com/
O8 -: Easy-WebPrint Ajouter à la liste d'impressions - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 -: Easy-WebPrint Impression rapide - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 -: Easy-WebPrint Imprimer - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 -: Easy-WebPrint Prévisualiser - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O16 -: {88D969C0-F192-11D4-A65F-0040963251E5} - file://C:\TempEI4\EI40_\msxml4.cab
C:\WINDOWS\Downloaded Program Files\msxml4.inf
C:\WINDOWS\System32\msxml4a.dll
C:\WINDOWS\System32\msxml4r.dll
C:\WINDOWS\System32\msxml4.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-14 12:42:45
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-14 12:45:51
ComboFix-quarantined-files.txt 2008-08-14 10:45:48

Pre-Run: 23,062,396,928 octets libres
Post-Run: 23,047,573,504 octets libres

166 --- E O F --- 2008-02-21 11:34:18




Et hjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:28, on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\Vidal\Communs\Vidal.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Business\ECB-VISA.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\WiFiConnector\NintendoWFCReg.exe
C:\WINDOWS\Rssauw32.exe
C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\GALSVW32.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Utilisateur\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bullovor.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www2.cegetel.rss.fr"); (C:\Program Files\Netscape\Users\adsl\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\Vidal\Communs\Vidal.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [eCarteBleue-VISA] "C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Business\ECB-VISA.exe" /dontopenmycards
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lancer l'utilitaire d'enregistrement.lnk = C:\Program Files\WiFiConnector\NintendoWFCReg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rssauw32.lnk = C:\WINDOWS\Rssauw32.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .asx: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npdsplay.dll
O15 - Trusted Zone: http://www.secuser.com)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O21 - SSODL: QLUKqOXxdc - {ECCD44C7-4667-EE6D-E685-F93EBFFCA535} - C:\WINDOWS\system32\seg.dll
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 7859 bytes



Je te souhaite une très bonne journée. A+ :) 

14 Août 2008 18:50:32

bonjour :) 



Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\system32\el32.dll

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.


    tu feras la même chose avec userinit.exe qui est un fichier normalement légitime, mais j'aimerais vérifier qu'il n'a pas été patché:

    C:\WINDOWS\system32\userinit.exe
    14 Août 2008 23:03:37


    Bonsoir à toi... :) 


    Je m'excuse de te répondre un peu tardivement, mais j'ai eu un gros problème avec mon PC au travail et je n'ai pu l'utiliser de tout l'aprem!
    J'essaie de te résumer:

    A 13h je te laisse donc le résultat des scans que tu m'avais demandés et je rentre chez moi en éteignant l'ordi. ( J'aurais peut être dû me méfier car j'avais encore un écran bleu en fond d'écran. )

    Je reviens à 14h, remets le PC en marche, l'écran Intel s'affiche, puis l'écran Windows XP, puis l'écran Bienvenue, et enfin un écran d'un beau bleu uniforme , point à la ligne. Pas de trace de bureau ni la moindre icône à l'horizon.
    Bref le gros binzzzz :pfff: 

    J'ai refait des essais sans plus de succès.
    J'ai donc essayé de passer en mode sans échec: après un certain temps s'affiche d'abord l'écran bleu Windows de choix utilisateur ou administrateur, puis l'écran avec écrit mode sans échec aux quatre coins...mais il reste désespérément noir, pas non plus de trace d'icône.

    Panique à bord....essai, ressai, que dalle.....

    J'ai finalement réussi en milieu d'aprem à entrer après être passé pas le gestionnaire de tâches , en choisissant nouvelle tâche et en tapant C: WINDOWS dans le cadre d'invite, et là enfin se sont affichées les icônes.

    A l'ouverture j'ai eu le message suivant:
    Windows ne trouve pas ' /idlist,:560:996,c:\WINDOWS'

    Je n'ai rien pu faire d'autre n'ayant pas d'accès Internet ( ni d'imprimante mais je pense que c'est dû au mode sans échec) et je ne peux donc que te répondre ce soir de retour chez moi.

    Sinon, j'ai quand même remarqué que l'écran de veille Windows refonctionnait ( au lieu des fenêtres bleues avec messages d'alerte que ça me balançait régulièrement) et en faisant clic droit sur l'onglet "affichage" sur le bureau, j'ai aussi vu que les onglets écran de veille et fonds d'écran étaient bien revenus.

    Voilà où j'en suis; je n'ai bien sûr rien tenté d'autre avant de t'en parler. Je ne sais pas si on peut remettre le CD Windows pour corriger des trucs; j'ai aussi vu en mode F8 une option dernière bonne configuration connue ( vos derniers paramètres fonctionnels ) mais je me suis bien gardé de tenter l'aventure!

    Bonne soirée à toi et bonne lecture de mes misères :( 
    14 Août 2008 23:32:09

    re
    pas terrible en effet...

    si tu as le cd de windows (ou alors, on peut t'en prêter un)

    répare windows:
    Citation :
    Remarque : La réparation de Windows XP conservera tous vos paramètres et documents. Elle remet tout simplement tout les fichiers d'origine de XP

    tuto:
    http://www.informatruc.com/reparer.php
    14 Août 2008 23:50:22

    Ok Merci de ta réponse; normalement je dois avoir le CD Windows ... Je ne devais retourner sur mon lieu de travail que lundi, j'essaierai peut-être d'y faire un saut demain ou après demain.
    Merci encore et à + pour te tenir au courant Good :sleep: 

    PS: Juste pour être certain de ne pas faire une bourde après avoir lu le tuto de réparation:
    Je démarre donc en mode sans échec avec l'astuce de cet aprem, j'insère le CD de Windows dans le lecteur et je quitte pour redémarrer avec le CD. Et ensuite je suis la technique décrite, c'est bien ca?
    15 Août 2008 12:39:50

    Bonjour à toi :) 

    Quelques news et encore un problème:

    J'ai fait un saut au bureau ce matin.
    Je suis rentré dans le Bios et j'ai mis le combo CD/DVD en first boot, mais quand je veux sauvegarder, rien ne se passe en appuyant sur la touche F10 prévue à cet effet.
    Je suis donc obligé de sortir par escape qui supprime les modifications .....

    Je commence à être un peu démoralisé là :ouch:  penses tu que tu vas trouver une solution ou je me cherche un nouvel ordi dès lundi ??

    Ah oui, au fait, pour les deux fichiers que tu m'avais demandé de soumettre sur Virus Total hier

    Citation :
    Rends toi sur ce lien : Virus Total


    Clique sur Parcourir
    Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\system32\el32.dll

    tu feras la même chose avec userinit.exe qui est un fichier normalement légitime, mais j'aimerais vérifier qu'il n'a pas été patché:

    C:\WINDOWS\system32\userinit.exe


    , est ce que la manip doit être obligatoirement faite depuis l'ordi ou est ce que je peux les copier sur une clé USB et lancer l'analyse de chez moi sur mon ordi perso?

    Bonne journée à toi en tout cas :hello: 
    15 Août 2008 22:02:14

    bonsoir

    il y a un admin sur le pc de ton boulot?
    ça me tente pas trop le bricolage sur un pc si c'est géré par un administrateur...

    Citation :
    Je démarre donc en mode sans échec avec l'astuce de cet aprem, j'insère le CD de Windows dans le lecteur et je quitte pour redémarrer avec le CD. Et ensuite je suis la technique décrite, c'est bien ca?

    Il se passe quoi quand tu mets le cd?
    normalement, il boote dessus...
    Citation :
    Windows XP lance l'installation.

    Cliquez sur Installer Windows et non Réparer

    L'installation recherche votre système d'exploitation et vous demande, à ce moment là, si vous voulez Installer une nouvelle version de Windows XP ou Réparer une installation existante en appuyant sur la touche R. Choisir Réparer.

    Voila, la réparation de Windows XP démarre. Suivez les instructions comme pour une installation normale.




    Citation :
    est ce que la manip doit être obligatoirement faite depuis l'ordi ou est ce que je peux les copier sur une clé USB et lancer l'analyse de chez moi sur mon ordi perso?

    ça ne servira à rien,
    il faut réparer windows.



    16 Août 2008 00:27:41


    Re...

    Citation :

    Il se passe quoi quand tu mets le cd?
    normalement, il boote dessus...


    * Si je mets le CD et que je boote sans passer par le Bios, j'obtiens le fameux écran bleu sans rien dessus ( ce qui me semble logique puisque le Bios est paramétré avec l'accès disque dur en premier)

    * Et donc en entrant dans le Bios comme décrit dans le tuto ( appui sur delete au lancement) j'ai changé en mettant le combo CD/DVD en premier accès, mais là quand je veux sauver ce nouveau paramétrage je ne peux le faire. La touche F10 qui est indiquée pour cette action est inactive.
    Je dois donc ressortir avec la touche escape qui annule les modifications, donc retour au point zéro....

    Voilà, j'espère que c'est à peu près clair mes explications :) 

    Bonne soirée à toi

    16 Août 2008 18:04:35

    bonjour
    oui, c'est clair. ;O)

    par contre, mon tuto ne parle pas de F10:
    Citation :
    Assurez-vous que le First boot est assigné au CDROM ou que l'ordre de la Boot sequence désigne le CDROM en premier. Si ce n'est pas le cas, indiquez-le avec les touches de direction ou les touches "+" et "-" du pavé numérique.

    Sélectionnez ensuite la partie EXIT du BIOS ou SAVE AND EXIT SETUP.

    L'ordinateur redémarre et doit booter à partir du CDROM. Il peut vous demander d'appuyer sur une touche pour démarrer à partir du CDROM.

    http://www.informatruc.com/reparer.php

    autre astuce:
    http://www.commentcamarche.net/faq/sujet-7322-booter-su...

    16 Août 2008 18:46:22

    Hello ... bsr à toi

    Dans mon bios à moi , j'ai un petit cadre sur le coté à droite avec les différentes touches de fonction

    F1 pour l'aide générale
    F9 pour la configuration par défaut
    F10 pour enregistrer et quitter
    et ESC pour quitter

    La touche F10 ne répondant pas , mes changements ne sont pas pris en compte car je suis obligé de sortir par ESC qui ne les enregistre pas et effectivement si je reboote et rentre a nouveau dans le Bios, j'ai toujours
    1er floppy disk
    2ème HD
    et 3ème CD

    et donc je tourne en rond.... Voilà le gros problème et je ne comprends pas pourquoi juste la touche F10 ne répond pas, toutes les autres marchent :ouch: 


    Mais je viens de lire ton second document et je vois qu'ils parlent de la touche F10 en plus de la sortie save and exit en naviguant...peut être donc que j'ai cette sortie là aussi que je n'ai pas vue....je ressaie euh sans doute lundi matin maintenant.
    Si je ne trouve pas cette autre façon de sortir, je peux utiliser la méthode avec la disquette??

    Bon week end à toi :) 
    16 Août 2008 21:14:50

    re
    oui essaye la méthode disquette.
    bon geek-end :hello: 
    18 Août 2008 19:06:59


    Hello Sham.... :hello: 

    Bien le bonjour à toi et j'espère que ta semaine a bien commencé.
    Pour moi ,il y a nettement du mieux. J'ai passé une bonne partie de la matinée à réparer Windows avec quelques sueurs à la clé, mais tout s'est finalement bien passé.
    Ca fait plaisir de retrouver son bureau tout clean et ses petites habitudes ;) 
    Grâce à toi , j'ai pu travailler normalement cet aprem ...merciiiiiii

    Ceci étant, je pense qu'il y a encore du travail:
    *au vu d'une bestiole que Bitdefender m'a encore bloquée en quarantaine dans la journée
    Nom du fichier seg.dll
    Nom du virus Trojan.Proxy.Agent.BBQ
    Nom du fichier d'origine c:\WINDOWS\system32\

    * et surtout au vu des analyses Virus Total que tu m'avais demandées l'autre jour et que je n'avais pu faire.
    Pas de problème pour userinit.exe apparemment, par contre pour el32.dll je n'y connais rien mais vu la quantité de rouge.... :??: 
    Heureusement que tu m'avais dit de ne pas faire attention à ce qui était indiqué sinon je partais à la renverse lolll.

    Voici donc les résultats:


    Fichier el32.dll reçu le 2008.08.18 05:17:38 (CET)Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.15.0 2008.08.15 -
    AntiVir 7.8.1.19 2008.08.16 TR/Spy.Gen
    Authentium 5.1.0.4 2008.08.18 -
    Avast 4.8.1195.0 2008.08.17 Win32:Spyware-gen
    AVG 8.0.0.161 2008.08.17 -
    BitDefender 7.2 2008.08.18 -
    CAT-QuickHeal 9.50 2008.08.16 Trojan.Agent.gen
    ClamAV 0.93.1 2008.08.16 -
    DrWeb 4.44.0.09170 2008.08.17 DLOADER.Trojan
    eSafe 7.0.17.0 2008.08.17 -
    eTrust-Vet 31.6.6035 2008.08.15 -
    Ewido 4.0 2008.08.17 -
    F-Prot 4.4.4.56 2008.08.17 -
    F-Secure 7.60.13501.0 2008.08.18 -
    Fortinet 3.14.0.0 2008.08.17 PossibleThreat
    GData 2.0.7306.1023 2008.08.17 Win32:Spyware-gen
    Ikarus T3.1.1.34.0 2008.08.18 -
    K7AntiVirus 7.10.417 2008.08.15 -
    Kaspersky 7.0.0.125 2008.08.18 -
    McAfee 5362 2008.08.15 -
    Microsoft 1.3807 2008.08.18 -
    NOD32v2 3362 2008.08.17 -
    Norman 5.80.02 2008.08.15 -
    Panda 9.0.0.4 2008.08.17 Suspicious file
    PCTools 4.4.2.0 2008.08.17 -
    Prevx1 V2 2008.08.18 Worm
    Rising 20.58.00.00 2008.08.18 -
    Sophos 4.32.0 2008.08.18 -
    Sunbelt 3.1.1546.1 2008.08.15 -
    Symantec 10 2008.08.18 Downloader
    TheHacker 6.3.0.3.052 2008.08.17 -
    TrendMicro 8.700.0.1004 2008.08.16 TROJ_SMALL.MAB
    VBA32 3.12.8.3 2008.08.18 -
    ViRobot 2008.8.16.1338 2008.08.16 -
    VirusBuster 4.5.11.0 2008.08.17 -
    Webwasher-Gateway 6.6.2 2008.08.18 Trojan.Spy.Gen

    Information additionnelle
    File size: 14336 bytes
    MD5...: a6638f0118b49ef4976318c7462e66f6
    SHA1..: 79873d1b766fd26fbc0e9e47d241d77bc40056b8
    SHA256: 94aef61d68fdaf99ff776e14980c2a555dd15e6fe4cecd2fd04ee6ac043c5c8d
    SHA512: 9d4090cd18b8f13d8523dbd8a1f826f192f1a534ba54dab2c330d41cfe22af68<BR>fe0fca4732a3d1af2e9cda6a017794d6ffe4033d299ab08d3f50a8d93c7d0f01
    PEiD..: -
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x10004019<BR>timedatestamp.....: 0x4815d1ad (Mon Apr 28 13:31:25 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.bss 0x1000 0x45c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.data 0x2000 0x2cfa 0x2e00 6.29 00430e052247e071b4490ddbdaa5d535<BR>.CRT 0x5000 0x4 0x200 0.06 86d202d5f512e966ccab2aa2983a647e<BR>.reloc 0x6000 0x32a 0x400 5.09 46cd9285e13450d16bfbdd28e635db7d<BR><BR>( 2 imports ) <BR>> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>> KERNEL32.dll: GetSystemDirectoryA, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, lstrcpyA, CreateThread, DeleteFileA, LocalFree, GetTempPathA, CloseHandle, GetVersionExA, LoadLibraryExA, GetModuleHandleA, WritePrivateProfileStringA, CreateFileA, lstrcmpA, lstrlenA, lstrcpynA, GetTickCount, WriteFile, Sleep, CreateProcessA, RtlUnwind, lstrcatA, GetLastError, lstrcmpiA, GetProcAddress, GetTempFileNameA, GetPrivateProfileStringA, LocalAlloc<BR><BR>( 0 exports ) <BR>
    ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=a6638f0118b...
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0C2539B0...

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.15.0 2008.08.15 -
    AntiVir 7.8.1.19 2008.08.16 TR/Spy.Gen
    Authentium 5.1.0.4 2008.08.18 -
    Avast 4.8.1195.0 2008.08.17 Win32:Spyware-gen
    AVG 8.0.0.161 2008.08.17 -
    BitDefender 7.2 2008.08.18 -
    CAT-QuickHeal 9.50 2008.08.16 Trojan.Agent.gen
    ClamAV 0.93.1 2008.08.16 -
    DrWeb 4.44.0.09170 2008.08.17 DLOADER.Trojan
    eSafe 7.0.17.0 2008.08.17 -
    eTrust-Vet 31.6.6035 2008.08.15 -
    Ewido 4.0 2008.08.17 -
    F-Prot 4.4.4.56 2008.08.17 -
    F-Secure 7.60.13501.0 2008.08.18 -
    Fortinet 3.14.0.0 2008.08.17 PossibleThreat
    GData 2.0.7306.1023 2008.08.17 Win32:Spyware-gen
    Ikarus T3.1.1.34.0 2008.08.18 -
    K7AntiVirus 7.10.417 2008.08.15 -
    Kaspersky 7.0.0.125 2008.08.18 -
    McAfee 5362 2008.08.15 -
    Microsoft 1.3807 2008.08.18 -
    NOD32v2 3362 2008.08.17 -
    Norman 5.80.02 2008.08.15 -
    Panda 9.0.0.4 2008.08.17 Suspicious file
    PCTools 4.4.2.0 2008.08.17 -
    Prevx1 V2 2008.08.18 Worm
    Rising 20.58.00.00 2008.08.18 -
    Sophos 4.32.0 2008.08.18 -
    Sunbelt 3.1.1546.1 2008.08.15 -
    Symantec 10 2008.08.18 Downloader
    TheHacker 6.3.0.3.052 2008.08.17 -
    TrendMicro 8.700.0.1004 2008.08.16 TROJ_SMALL.MAB
    VBA32 3.12.8.3 2008.08.18 -
    ViRobot 2008.8.16.1338 2008.08.16 -
    VirusBuster 4.5.11.0 2008.08.17 -
    Webwasher-Gateway 6.6.2 2008.08.18 Trojan.Spy.Gen

    Information additionnelle
    File size: 14336 bytes
    MD5...: a6638f0118b49ef4976318c7462e66f6
    SHA1..: 79873d1b766fd26fbc0e9e47d241d77bc40056b8
    SHA256: 94aef61d68fdaf99ff776e14980c2a555dd15e6fe4cecd2fd04ee6ac043c5c8d
    SHA512: 9d4090cd18b8f13d8523dbd8a1f826f192f1a534ba54dab2c330d41cfe22af68<BR>fe0fca4732a3d1af2e9cda6a017794d6ffe4033d299ab08d3f50a8d93c7d0f01
    PEiD..: -
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x10004019<BR>timedatestamp.....: 0x4815d1ad (Mon Apr 28 13:31:25 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.bss 0x1000 0x45c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.data 0x2000 0x2cfa 0x2e00 6.29 00430e052247e071b4490ddbdaa5d535<BR>.CRT 0x5000 0x4 0x200 0.06 86d202d5f512e966ccab2aa2983a647e<BR>.reloc 0x6000 0x32a 0x400 5.09 46cd9285e13450d16bfbdd28e635db7d<BR><BR>( 2 imports ) <BR>> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>> KERNEL32.dll: GetSystemDirectoryA, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, lstrcpyA, CreateThread, DeleteFileA, LocalFree, GetTempPathA, CloseHandle, GetVersionExA, LoadLibraryExA, GetModuleHandleA, WritePrivateProfileStringA, CreateFileA, lstrcmpA, lstrlenA, lstrcpynA, GetTickCount, WriteFile, Sleep, CreateProcessA, RtlUnwind, lstrcatA, GetLastError, lstrcmpiA, GetProcAddress, GetTempFileNameA, GetPrivateProfileStringA, LocalAlloc<BR><BR>( 0 exports ) <BR>
    ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=a6638f0118b...
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0C2539B0...


    et le second



    Fichier userinit.exe reçu le 2008.04.06 11:49:59 (CET)Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.4.4.1 2008.04.04 -
    AntiVir 7.6.0.81 2008.04.05 -
    Authentium 4.93.8 2008.04.05 -
    Avast 4.7.1098.0 2008.04.06 -
    AVG 7.5.0.516 2008.04.05 -
    BitDefender 7.2 2008.04.06 -
    CAT-QuickHeal 9.50 2008.04.05 -
    ClamAV 0.92.1 2008.04.06 -
    DrWeb 4.44.0.09170 2008.04.06 -
    eSafe 7.0.15.0 2008.04.01 -
    eTrust-Vet 31.3.5672 2008.04.04 -
    Ewido 4.0 2008.04.05 -
    F-Prot 4.4.2.54 2008.04.05 -
    F-Secure 6.70.13260.0 2008.04.06 -
    FileAdvisor 1 2008.04.06 -
    Fortinet 3.14.0.0 2008.04.06 -
    Ikarus T3.1.1.20 2008.04.06 -
    Kaspersky 7.0.0.125 2008.04.06 -
    McAfee 5267 2008.04.04 -
    Microsoft 1.3408 2008.04.06 -
    NOD32v2 3005 2008.04.06 -
    Norman 5.80.02 2008.04.04 -
    Panda 9.0.0.4 2008.04.05 -
    Prevx1 V2 2008.04.06 -
    Rising 20.38.60.00 2008.04.03 -
    Sophos 4.28.0 2008.04.06 -
    Sunbelt 3.0.1032.0 2008.04.05 -
    Symantec 10 2008.04.06 -
    TheHacker 6.2.92.266 2008.04.05 -
    VBA32 3.12.6.4 2008.04.06 -
    VirusBuster 4.3.26:9 2008.04.05 -
    Webwasher-Gateway 6.6.2 2008.04.05 -

    Information additionnelle
    File size: 25088 bytes
    MD5...: d6d65ea32b190401b57edb6706f29669
    SHA1..: 273ea1a839056c60444238b248213ce6c94d1c3f
    SHA256: bf8cb19c5ce66d4cf7d410ea3824d082888cefa21b59c1e8fc509b2098afef27
    SHA512: 66b0335682c84fad3c3792725565d6ec695c7709b13607b38208f21bad12593c<BR>520ca0aed2377e5758b7b9ed2853973d50c56ece608a9079166ab84c50327494
    PEiD..: -
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x10050e5<BR>timedatestamp.....: 0x41107b78 (Wed Aug 04 06:00:24 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x4db8 0x4e00 6.01 28bb30acf8de6ab97244272748e6d31f<BR>.data 0x6000 0x14c 0x200 1.86 cbb599f9267bf53209039d14a3574eb1<BR>.rsrc 0x7000 0xd74 0xe00 3.62 fb3de6f4736007e3cd67ad42d5ed9eda<BR><BR>( 7 imports ) <BR>> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW<BR>> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA<BR>> CRYPT32.dll: CryptProtectData<BR>> WINSPOOL.DRV: SpoolerInit<BR>> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, NtQueryInformationToken, RtlConvertSidToUnicodeString<BR>> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, __setusermatherr, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, _initterm, _adjust_fdiv<BR>> KERNEL32.dll: GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, SetEnvironmentVariableW, lstrlenW, lstrcpyW, FreeLibrary, GetProcAddress, LoadLibraryW, CompareFileTime, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, ExpandEnvironmentStringsW, SetEvent, OpenEventW, Sleep, GetLastError, SearchPathW, CreateProcessW<BR><BR>( 0 exports ) <BR>

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.4.4.1 2008.04.04 -
    AntiVir 7.6.0.81 2008.04.05 -
    Authentium 4.93.8 2008.04.05 -
    Avast 4.7.1098.0 2008.04.06 -
    AVG 7.5.0.516 2008.04.05 -
    BitDefender 7.2 2008.04.06 -
    CAT-QuickHeal 9.50 2008.04.05 -
    ClamAV 0.92.1 2008.04.06 -
    DrWeb 4.44.0.09170 2008.04.06 -
    eSafe 7.0.15.0 2008.04.01 -
    eTrust-Vet 31.3.5672 2008.04.04 -
    Ewido 4.0 2008.04.05 -
    F-Prot 4.4.2.54 2008.04.05 -
    F-Secure 6.70.13260.0 2008.04.06 -
    FileAdvisor 1 2008.04.06 -
    Fortinet 3.14.0.0 2008.04.06 -
    Ikarus T3.1.1.20 2008.04.06 -
    Kaspersky 7.0.0.125 2008.04.06 -
    McAfee 5267 2008.04.04 -
    Microsoft 1.3408 2008.04.06 -
    NOD32v2 3005 2008.04.06 -
    Norman 5.80.02 2008.04.04 -
    Panda 9.0.0.4 2008.04.05 -
    Prevx1 V2 2008.04.06 -
    Rising 20.38.60.00 2008.04.03 -
    Sophos 4.28.0 2008.04.06 -
    Sunbelt 3.0.1032.0 2008.04.05 -
    Symantec 10 2008.04.06 -
    TheHacker 6.2.92.266 2008.04.05 -
    VBA32 3.12.6.4 2008.04.06 -
    VirusBuster 4.3.26:9 2008.04.05 -
    Webwasher-Gateway 6.6.2 2008.04.05 -

    Information additionnelle
    File size: 25088 bytes
    MD5...: d6d65ea32b190401b57edb6706f29669
    SHA1..: 273ea1a839056c60444238b248213ce6c94d1c3f
    SHA256: bf8cb19c5ce66d4cf7d410ea3824d082888cefa21b59c1e8fc509b2098afef27
    SHA512: 66b0335682c84fad3c3792725565d6ec695c7709b13607b38208f21bad12593c<BR>520ca0aed2377e5758b7b9ed2853973d50c56ece608a9079166ab84c50327494
    PEiD..: -
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x10050e5<BR>timedatestamp.....: 0x41107b78 (Wed Aug 04 06:00:24 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x4db8 0x4e00 6.01 28bb30acf8de6ab97244272748e6d31f<BR>.data 0x6000 0x14c 0x200 1.86 cbb599f9267bf53209039d14a3574eb1<BR>.rsrc 0x7000 0xd74 0xe00 3.62 fb3de6f4736007e3cd67ad42d5ed9eda<BR><BR>( 7 imports ) <BR>> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW<BR>> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA<BR>> CRYPT32.dll: CryptProtectData<BR>> WINSPOOL.DRV: SpoolerInit<BR>> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, NtQueryInformationToken, RtlConvertSidToUnicodeString<BR>> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, __setusermatherr, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, _initterm, _adjust_fdiv<BR>> KERNEL32.dll: GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, SetEnvironmentVariableW, lstrlenW, lstrcpyW, FreeLibrary, GetProcAddress, LoadLibraryW, CompareFileTime, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, ExpandEnvironmentStringsW, SetEvent, OpenEventW, Sleep, GetLastError, SearchPathW, CreateProcessW<BR><BR>( 0 exports ) <BR>


    Voilà; je te souhaite une bonne soirée en attendant ton verdict :) 
    A+

    18 Août 2008 20:38:25

    bonsoir :) 

    1

    supprime:
    C:\WINDOWS\system32\el32.dll
    C:\WINDOWS\el.ini

    2

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

    Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
    AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM




    3

    et reposte un log hijackthis stp :) 
    19 Août 2008 23:06:11


    Bonsoir à toi :) 

    Et voilà le résultat de tes requêtes.

    J'ai bien cru que MalwareByte's Anti-Malware pendant les presque 2h de son analyse n'allait rien trouver et finalement il m'a dégoté trois fichiers dans les toutes dernières secondes. Voici le rapport:

    Malwarebytes' Anti-Malware 1.25
    Version de la base de données: 1071
    Windows 5.1.2600 Service Pack 2

    20:40:47 19/08/2008
    mbam-log-08-19-2008 (20-40-47).txt

    Type de recherche: Examen complet (C:\|E:\|G:\|H:\|)
    Eléments examinés: 246077
    Temps écoulé: 1 hour(s), 47 minute(s), 23 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\rhcac3j0ercn (Rogue.Multiple) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)




    Et le nouveau log hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:44:48, on 19/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
    C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\Ahead\InCD\InCD.exe
    C:\WINDOWS\system32\GSICON.EXE
    C:\WINDOWS\system32\dslagent.exe
    C:\Program Files\Vidal\Communs\Vidal.exe
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
    C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
    C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Business\ECB-VISA.exe
    C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
    C:\Program Files\Messenger\MSMSGS.EXE
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\WiFiConnector\NintendoWFCReg.exe
    C:\WINDOWS\Rssauw32.exe
    C:\Program Files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
    C:\WINDOWS\GALSVW32.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Utilisateur\Bureau\Scanner.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bullovor.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www2.cegetel.rss.fr"); (C:\Program Files\Netscape\Users\adsl\prefs.js)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [vdlDeamon] C:\Program Files\Vidal\Communs\Vidal.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
    O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
    O4 - HKLM\..\Run: [eCarteBleue-VISA] "C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Business\ECB-VISA.exe" /dontopenmycards
    O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
    O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Lancer l'utilitaire d'enregistrement.lnk = C:\Program Files\WiFiConnector\NintendoWFCReg.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Rssauw32.lnk = C:\WINDOWS\Rssauw32.exe
    O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .asx: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npdsplay.dll
    O15 - Trusted Zone: http://www.secuser.com)
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
    O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
    O21 - SSODL: QLUKqOXxdc - {ECCD44C7-4667-EE6D-E685-F93EBFFCA535} - (no file)
    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
    O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

    --
    End of file - 7750 bytes


    Je pense que ca commence à se clarifier, bonne fin de soirée. ;) 

    19 Août 2008 23:44:53

    bonsoir
    Citation :
    Je pense que ca commence à se clarifier, bonne fin de soirée. ;) 

    effectivement :) 


    ~Lance Hijackthis “Do a system scan only”.
    Coche les lignes qui suivent si encore présentes et uniquement celles-là.

    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O21 - SSODL: QLUKqOXxdc - {ECCD44C7-4667-EE6D-E685-F93EBFFCA535} - (no file)

    Clique sur Fix checked (en bas à gauche)

    Télécharge -AtfCleaner
    http://www.atribune.org/public-beta/ATF-Cleaner.exe

    Double-cliquer sur ATF-Cleaner.exe afin de lancer le programme.
    - Si vous utilisez IE
    Sous l'onglet Main, choisir : Select All
    Cliquer sur le bouton Empty Selected
    - Si vous utilisez le navigateur Firefox :
    Cliquer Firefox au haut et choisir : Select All
    Cliquer le bouton Empty Selected
    Note : Si vous voulez conserver les mots de passe sauvegardés, cliquer "No" à l'invite.
    - Si vous utilisez le navigateur Opera :
    Cliquer Opera au haut et choisir : Select All
    Cliquer le bouton Empty Selected
    Note : Si vous voulez conserver les mots de passe sauvegardés, cliquer "No" à l'invite.
    Cliquer Exit, du menu principal, afin de fermer le programme


    ++++++++++++

    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://www.kaspersky.com/kos/eng/partner/default/kavweb...

    * Clique sur Accept
    * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
    * clique une nouvelle fois sur "Accept"
    * Les bases de mises à jour vont s'installer, patiente un moment
    * Clique sur Next.
    * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

    Tuto du scan en ligne
    20 Août 2008 20:05:11


    Bonsoir à toi .

    Je n'ai pas pu faire les dernières manips aujourd'hui car je n'étais pas au bureau cet aprem.
    J'espère avoir le temps de les faire demain.

    Je voulais quand même te signaler que ce matin Bit Defender m'a encore mis un truc en quarantaine:

    Nom du fichier A0000180.dll
    Nom du virus Trojan.Proxy.Agent.BBQ
    Fichier origine C:\System Volume Information\_restore{6C66FAD7 ..... .... 60F4D}\RP3

    Mais en cherchant , dans C je ne trouve absolument pas de repertoire System Volume Information....
    Je ne sais pas si celà te parle et te semble normal.
    pour moi , ce n'est même plus du chinois , peut être du serbo croate ancien....lolll

    Je te souhaite une bonne soirée et te dis à demain pour la suite du feuilleton ;) 
    20 Août 2008 20:54:47

    bonsoir
    ne t'inquiète pas:
    Citation :
    om du fichier A0000180.dll
    Nom du virus Trojan.Proxy.Agent.BBQ
    Fichier origine C:\System Volume Information\_restore{6C66FAD7 ..... .... 60F4D}\RP3

    c'est la restauration de xp, le virus n'est plus actif, il ne revient que si tu reviens à un point de restauration antérieur à l'infection.
    on réglera ça en fin de désinfection, après le scan en ligne, il suffira de faire ça:
    ~Désactive puis réactive la restauration en suivant ce tuto:
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...
    Il faudra désactiver la restauration, redémarrer l'ordinateur et réactiver aussitôt la restauration.


    Mais tu le feras qu'après que j'ai vu le scan en ligne :) 
    21 Août 2008 22:43:43

    Bonsoir Sham_Rock :) 

    Voilà, j'ai donc pu faire aujourd'hui les manips que tu m'avais demandées avant hier.

    Je te poste le rapport Kaspersky

    --------------------------------------------------------------------------------
    KASPERSKY ONLINE SCANNER 7 REPORT
    Thursday, August 21, 2008
    Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
    Kaspersky Online Scanner 7 version: 7.0.25.0
    Program database last update: Thursday, August 21, 2008 08:22:46
    Records in database: 1118188
    --------------------------------------------------------------------------------

    Scan settings:
    Scan using the following database: extended
    Scan archives: yes
    Scan mail databases: yes

    Scan area - My Computer:
    A:\
    C:\
    D:\
    E:\
    F:\

    Scan statistics:
    Files scanned: 213956
    Threat name: 5
    Infected objects: 5
    Suspicious objects: 0
    Duration of the scan: 01:58:25


    File name / Threat name / Threats count
    C:\Oldies\unzipped\hearts.exe Infected: not-a-virus:AdWare.Win32.ShowBehind.a 1
    C:\Oldies\unzipped\hearts.exe Infected: Trojan-Clicker.Win32.Delf.ar 1
    C:\Oldies\unzipped\hearts.exe Infected: not-a-virus:AdWare.Win32.JumpGate.a 1
    C:\Program Files\SmitfraudFix\Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\lphcec3j0ercn.exe.vir Infected: Trojan-Downloader.Win32.Small.aaqw 1

    The selected area was scanned.

    Qoobox je crois que c'est la quarantaine de Combofix, le seul fichier suspect semble celui du dossier Oldies. Je vais virer ce dossier qui date d'un moment et auquel je n'ai même jamais touché. C'était des jeux que j'avais téléchargé sur un site de jeux anciens passés au domaine public...alors poubelle.
    Par contre j'ai vérifié le dossier et le fichier avec Bitdefender et il ne sourcille pas...; il a quand même l'ai de laisser passer un certain nombre de choses cet antivirus :ouch: 

    Bonne soirée et à + ;) 
    22 Août 2008 09:26:10

    bonjour

    parfait, supprime C:\Oldies\unzipped\hearts.exe

    Supprime tous les programmes installés pour la désinfection.

    ~Désactive puis réactive la restauration en suivant ce tuto:
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...
    Il faudra désactiver la restauration, redémarrer l'ordinateur et réactiver aussitôt la restauration.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    ~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.

    :hello: 
    23 Août 2008 17:23:39


    Bonjour à tous et plus particulièrement à toi Sham_Rock ;)  .

    Voilà, j'ai carrément supprimé tout ce dossier litigieux dont je n'avais aucune utilité.

    Je ferai les dernières petites manips lundi.
    J'ai déjà lu pas mal de posts et de conseils suite à ma mésaventure et je ne manquerai pas d'étudier attentivement le dossier que tu m'indiques.

    Je prends 15 jours de congés fin de semaine prochaine , mais je crois qu'à mon retour je m'occupe de mes deux ordinateurs personnels (un portable récent sous Vista et une tour beaucoup plus ancienne sous XP) A priori rien de louche, mais comme visiblement Bitdefender ne bloque pas tout ( existe t il du reste un anti virus cappable de vraiment tout bloquer sur une infestation quand ca commence à clignoter de partout ??) je ferai une analyse Kaspersky en ligne et si j'ai des doutes je me permettrai de poster pour avis.

    Reste à t'exprimer une fois encore toute ma gratitude et te dire un immense merci pour tes conseils éclairés et toujours donnés avec bonne humeur ;)  Tu m'as tiré une belle épine du pied !

    Bravo et merci d'une manière générale à tous les helpers de ce forum qui font vraiment un super boulot :bounce: 

    Bonne continuation à tous . Merci et à +
    23 Août 2008 19:47:19

    merci :) 
    bonnes vacances
    :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS